Вирусы msvmiomode.exe ctfdrive32.exe

[sentinel.dm]

Всем здравствуйте.
Долгое время не выходил инет проблемы с провайдером. Через минуту после первого включения полезла по трафику всякая гадость и в автозагрузку. Что только не пробовал 3 дня ручками и утилитами пытался вывести. не смог
Помогите плиз найти корень зла!


ps забыл добавить что при загрузке самопроизвольно открываются Мои Документы

[polword]

1.Профиксите в HijackThis

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
 QuarantineFile('C:\Documents and Settings\Dima\Application Data\ltzqai.exe','');
 DeleteFile('C:\Documents and Settings\Dima\Application Data\ltzqai.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 QuarantineFile('C:\RECYCLER\S-1-5-21-2553991060-5654258061-944480425-7470\syscr.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-2553991060-5654258061-944480425-7470\syscr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 DeleteFileMask('C:\RECYCLER\S-1-5-21-2553991060-5654258061-944480425-7470', '*.*', true);
 DeleteDirectory('C:\RECYCLER\S-1-5-21-2553991060-5654258061-944480425-7470');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM

[sentinel.dm]

надеюсь лог MBAM тот

пс: пока перед интернет подключениесм не сниму в диспетчере 2 процесса cfdrive32.exe инет подключается но страницы не грузит
если же после запуска инета снять то тогда только перезагрузка

[polword]

1.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
 QuarantineFile('C:\WINDOWS\system32\53.exe','');
 QuarantineFile('C:\Temp\507.exe','');
 DeleteFile('C:\WINDOWS\cfdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('C:\Temp\507.exe');
 DeleteFile('C:\WINDOWS\system32\53.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 QuarantineFile('D:\ГИС\autorun.exe','');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(13);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

- удалите в MBAM, что останется их этого

Код:

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-1745144194-8676538882-414842321-0223\syscr.exe,explorer.exe,C:\Temp\507.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.

Зараженные файлы:
C:\RECYCLER\S-1-5-21-1745144194-8676538882-414842321-0223\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-2553991060-5654258061-944480425-7470\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\WINDOWS\cfdrive32.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте повторный лог MBAM

[sentinel.dm]

Мои документы больше не открываются автоматически при загрузке
уже плюс
Сначала вроде после выполнения первого скрипта и перезагрузки вроде всё хорошо, но как только включил инет Startup Monitor выдал что эти экзехи снова пытаются залезть в реестр.
Новый карантин загрузил

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Program Files\Google\Update\GoogleUpdate.exe','');
 TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 TerminateProcessByName('c:\windows\cfdrive32.exe');
 DeleteFile('c:\windows\cfdrive32.exe');
 DeleteFile('c:\windows\system32\msvmiode.exe');
 DeleteFile('C:\Documents and Settings\Dima\Application Data\ltzqai.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;

[sentinel.dm]

Нью сисчек

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteService('gupdate');
 BC_DeleteFile('C:\Program Files\Google\Update\GoogleUpdate.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 DeleteFile('%windir%\system32\Drivers\etc\hosts');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteRepair(13); 
 BC_DeleteFile('C:\Program Files\Google\Update\GoogleUpdate.exe');
 BC_DeleteSvc('gupdate');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

[sentinel.dm]

Новый...

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
  QuarantineFile('C:\WINDOWS\system32\23.exe','');
 DeleteFile('C:\WINDOWS\system32\23.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- очистите мусор в системе
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
- Сделайте повторный лог virusinfo_syscheck.zip;

[sentinel.dm]

Всё было хорошо пока не подключился к инету. Теперь не могу зайти ни на один сайт антивирусов, Ваш, и майкрософт. Только через анонимайзер зашёл. Поэтому ничего не могу закачать. Что делать дальше?

[polword]

Что делать дальше?

надо бы вот это

- Сделайте повторный лог virusinfo_syscheck.zip;

[sentinel.dm]

http://webfile.ru/4686207
только если так могу
нормального анонимайзера не мог найти скрипты глючат на них
это zip syscheck

[polword]

делайте лог Gmer

[sentinel.dm]

После запуска гмера, он нашел руткит и сделал автоматически полную проверку после того как я нажал да - лог гмер.log
Интернет не запускался поэтому я удалил сервис обнаруженный руткита на свой страх и риск.
После удаления и перезагрузки сделал новый лог гмера- гмер2.log
и сисчек.
На сайт Ваш стал заходить.

[polword]

в логах чисто

[sentinel.dm]

Приветствую.
Все проблемы с троянами решены, экзе больше нигде не обнаруживались
Остался руткит который в обычном режиме не лечится а в безопасном его длл C:\WINDOWS\system32\ymojiti.dll
удаляется avz при обычном лечении, после перезагрузки всё отлично не одна из программ ничего не находит, на сайты прекрасно тоже заходит, но....
после второй перезагрузки(каждой второй), опа, снова ОН и пошло- на сайты антивирей и вирусинфо не заходит. А также при рабочем рутките почему то не срабатывают ключи автозагрузки программ которые в трей (PStartmon, PuntoSwitcher и т.д.).
1)MBAM ничего полезного не находит поэтому логи не прилагаю.
2)гмер.log старый, новый не сохранил а делать его долго
старый от нового отличается на глазок только новым рандомным названием руткита из набора букв, а DLL та же и после удаления руткита востанавливается с тем же названием.
3)лог с название ПРИ СТАНДАРТНОМ ЛЕЧЕНИИ
приложил на всякий случай так как при выполнении скрипта 2 другой получается
3)Остальные логи тут....

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\ymojiti.dll','');
 BC_ImportAll;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сохраните текст ниже как 1.bat в ту же папку, где находится 3msi84di.exe (GMER) и запустите этот батник(1.bat):

Код:

3msi84di.exe -del service kbnrfcrm
3msi84di.exe -del file "C:\WINDOWS\system32\ymojiti.dll"
3msi84di.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kbnrfcrm"
3msi84di.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\kbnrfcrm"
3msi84di.exe -reboot

Компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip

[sentinel.dm]

Закачал.
Кстати теперь в автозагрузку пытались прописатся
ключи в
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
штук 7 ключей со ссылками на dll и exe
dll вида crypto32.dll
cryptonet.dll и другие
а также снова появились msvmiode.exe, cfdrive32.exe
taskman ключ на syscr.exe в корзине и всё остальное что было в начале
ВСЁ это после перезагрузки как сделал карантин и сисчек иначе инет не работал

[polword]

- сделайте лог Combofix